• Immagino che quando dici WPA2 intendi WPA2-Personal. È abbastanza buono nella maggior parte dei casi al momento purché sia ​​combinato con una password davvero buona. https://www.grc.com/passwords.htm è un buon generatore per loro.
• Disattiva Wi-Fi Protected Setup (WPS). Altrimenti, un utente malintenzionato deve solo violare un PIN di 8 cifre, il che è perfettamente fattibile.
• Nascondere il tuo SSID. Non fermerà un aggressore determinato, ma fermerà alcuni degli script kiddie come gli aggressori.
• Consentire solo indirizzi MAC specifici può essere un buon passo per gestire l'accesso degli utenti. Ma ancora una volta non rallenterà davvero un determinato aggressore, in quanto può comunque vedere quali indirizzi MAC sono attualmente connessi al wireless in testo normale.
• Se possibile, una buona tattica per ridurre la possibilità che il tuo WiFi venga attaccato è posizionare correttamente il tuo punto di accesso wireless in modo che la quantità minima di segnale venga trasmessa all'esterno dell'edificio. In questo modo l'aggressore deve essere più vicino per iniziare l'attacco a meno che non abbia migliorate le antenne wireless per agganciarsi a miglia di distanza.

Sì, le persone possono trasmettere un segnale più forte per cercare di farti connettere a loro invece del punto di accesso desiderato utilizzando strumenti come Karma. Non conosco alcun modo specifico per proteggersi da questo, tranne per non consentire alcuna associazione automatica invece ogni volta che si desidera connettersi al wireless, è necessario farlo manualmente e verificare di connettersi al punto di accesso corretto.

Dipende dalla rete / dall'ambiente. Per le reti wireless SOHO, WPA 2 Personal con una passphrase forte utilizzata per PSK dovrebbe essere sufficiente.

Per le reti aziendali o le reti che trattano informazioni riservate è necessario utilizzare i seguenti controlli:

• WPA 2 Enterprise legato a IEEE 802.1X / EAP
• Rete wireless separata dalla rete interna
• WIPS e monitoraggio dei log in atto per rilevare / prevenire attacchi locali
• I client wireless che richiedono un accesso interno dovrebbero connettersi tramite VPN
• Limita la copertura a ciò che è assolutamente necessario attraverso controlli fisici e / o manipolazione dell'intensità del segnale

Sono d'accordo con tutti i punti menzionati finora, e poiché sia ​​Mark Davidson che sdanelson hanno menzionato la copertura radio, volevo solo espandere leggermente questo dato che ci sono un paio di aree:

Potenza del segnale : in genere si desidera utilizzare la potenza del segnale minima possibile in una determinata area, quindi un attaccante al di fuori della tua squadra non può ottenere l'accesso, ma questo può lasciarti aperto a un Gemello malvagio attaccare se un punto di accesso dannoso copia il tuo SSID e utilizza una potenza del segnale molto più elevata.

Una soluzione è pensare ai tuoi percorsi di propagazione , individuando i tuoi punti di accesso all'esterno il tuo sito con le antenne configurate per essere direzionali nel tuo sito ti aiuterà molto in quanto puoi aumentare la potenza del segnale del punto di accesso (quindi sembrare più forte per i client) senza propagare il tuo segnale così lontano al di fuori del lato.

A soluzione più semplice, ma più efficace che ho visto (che potrebbe essere eccessivo per te - l'ho vista usata in un es molto sensibile tablishment) è pareti rivestite di metallo e soffitto con rete alle finestre: un'indagine wireless del sito di questo sito ha rilevato zero perdite RF!

Sicurezza attraverso l'oscurità, in questo caso nascondere l'SSID beacon: ti dà un falso senso di sicurezza. Il tuo punto di accesso continuerà a trasmettere SSID, ma non nei frame di beacon. Molti utenti ordinari saranno ancora in grado di connettersi poiché i driver per molte piattaforme identificheranno ancora l'SSID e tutti gli aggressori saranno in grado di trovarti come farebbero normalmente: prova uno degli strumenti sul Russix LiveCD e funzioneranno abbastanza bene con la trasmissione SSID disabilitata.

Solo per buttarlo qui.

Il miglior modello di sicurezza "wireless" è quello di sostituire i router wireless con il normale cablaggio CAT-5.

Il prossimo elemento migliore è garantire che tutto il traffico tra le macchine sia protetto utilizzando Kerberos oltre alla crittografia fornita dal router wireless. Questo può essere fatto con le impostazioni dei criteri di gruppo sui domini Windows.

Qualunque cosa tu faccia, non fidarti in modo nativo di nessuna macchina in grado di autenticarsi sul tuo router.

Partendo dal presupposto che questo sia un router wireless per una casa o una piccola impresa, dovrei raccomandare quanto segue:

• Come regola generale, cambia tutto ciò che è predefinito sul router incluso ma non limitato all'SSID e all'interfaccia web.

• È necessario utilizzare WPA2 solo con crittografia AES e una chiave complessa con password alfanumerica contenente più di 8 caratteri. Non è necessaria una password di 63 caratteri per proteggere la rete domestica.

• Utilizza il Filtro Mac wireless per consentire solo ai dispositivi wireless consentiti di connettersi alla rete. Questa informazione è denominata indirizzo fisico o indirizzo MAC e può essere trovata su una macchina Windows digitando ipconfig / all dal prompt dei comandi.

• Se il router wireless supporta dovresti limitare il tuo raggio d'azione entro i confini della tua proprietà per ridurre l'area in cui un hacker potrebbe posizionarsi.

• Infine, nascondere l'SSID non farà nulla in il modo di proteggere la tua rete e la renderà effettivamente più suscettibile agli attacchi. Inoltre, chiunque sia in grado di decifrare una password WPA2 forte non sarà scoraggiato da un SSID nascosto. Per saperne di più su questo, dai un'occhiata al seguente articolo: http://www.howtogeek.com/howto/28653/debunking-myths-is-hiding-your-wireless-ssid-really-more-secure /

Una buona difesa è stratificata, quindi non ci sarà una guida per dominarli tutti. Per il wireless in particolare, potresti dare un'occhiata alle guide all'implementazione di DISA. Ti consigliamo di includere altre tecnologie per l'autenticazione enpoint, ecc., Ma questo è un buon inizio.

http://iase.disa.mil/stigs/content_pages/wireless_security.html

In alternativa, potresti semplicemente eseguire un rilascio ed eliminare molti di questi problemi.

Se sei disposto a eseguire il tuo software AP (che molto probabilmente significherà hostapd), puoi configurare EAP basato su password.

Puoi quindi avere una password per MAC che conosci e una password predefinita che ruoti frequentemente altrimenti. Personalmente, penso che sia un'alternativa ragionevole al filtro MAC, ma potresti implementarle entrambe.

Non è forte come un approccio adeguatamente stratificato, ma per SOHO e moderatamente preoccupati, ragionevole (ho usato un Pi3 per questo).

Consiglio vivamente di rendere obbligatoria una VPN per qualsiasi cosa significativa (cioè qualcosa di più della navigazione su siti Web pubblici) se questo è un problema.